Home Sign Up Sign In
yun

丧心病狂,用我的网站查了 100 多万个手机号网易邮箱

  •   
  •   yun ·
    PRO
    · Sep 29, 2019 · 6843 views
    This topic created in 2432 days ago, the information mentioned may be changed or developed.
    网站有一个功能是验证邮箱是否存在,每次只能查一个。

    上个月邮件通知服务器 CPU 超过 100%,然后排查发现有人利用这个邮箱验证服务查了 100 多万个前缀是手机号的 163 邮箱。像这样类型的 1388039****@163,1868723****@163.com 。

    3 天时间,查了一百多万,也不知道这大兄弟咋查的。

    然后我把这个服务关了。。。
  • 邮箱
  • 验证
  • 前缀
  • 丧心病狂
    21 replies    2019-10-29 22:59:40 +08:00
    byicer
        1
    byicer  
       Sep 29, 2019 via iPhone   ❤️ 1
    黑产利用你网站验证账号?
    uyhyygyug1234
        2
    uyhyygyug1234  
       Sep 29, 2019   ❤️ 1
    ‭1000000 ÷ 3 ÷ 24 ÷ 3600 =‬ 3.85 还好还好。
    dji38838c
        3
    dji38838c  
       Sep 29, 2019   ❤️ 1
    加个验证码就好了,用不着关了,还有别的正常用户要用嘛
    yun
        4
    yun  
    OP
    PRO
       Sep 29, 2019
    @byicer 黑产不黑产不知道,肯定是发垃圾邮件的,不知在哪搞到这些邮件,然后验证真伪再发垃圾邮件。

    @uyhyygyug1234 他要是能慢慢验证还好了勒,高并发,恨不得一下都塞进服务器里。
    yun
        5
    yun  
    OP
    PRO
       Sep 29, 2019
    @dji38838c 是的,平时也就百多个验证,主要没时间,以后有空再把验证加上去。
    uyhyygyug1234
        6
    uyhyygyug1234  
       Sep 29, 2019   ❤️ 1
    @yun 你关了不解气啊,应该要搞些误报,让他也不知道到底有没有,白白浪费时间才好。
    qiayue
        7
    qiayue  
    PRO
       Sep 29, 2019   ❤️ 1
    你赚了 100 多万个手机号码了
    wd
        8
    wd  
       Sep 29, 2019 via iPhone   ❤️ 1
    @qiayue #7 你咋这么聪明 小学哪上的?
    caomu
        9
    caomu  
       Sep 29, 2019 via Android   ❤️ 1
    @qiayue 不亏是大佬,眼光独到
    opengps
        10
    opengps  
       Sep 29, 2019 via Android   ❤️ 1
    这是一种穷举撞库识别无效号码的办法
    yun
        11
    yun  
    OP
    PRO
       Sep 29, 2019
    @uyhyygyug1234 哈哈,有道理

    @qiayue 没价值,邮箱被暴库的网上一大堆,都是直接查询,没记录的。
    locoz
        12
    locoz  
       Sep 29, 2019   ❤️ 1
    多半是黑产在撞库
    Fx8m
        13
    Fx8m  
       Sep 30, 2019   ❤️ 1
    非常好奇是怎样 验证邮箱是否存在 的。
    大佬能不能分享下原理。
    locoz
        14
    locoz  
       Sep 30, 2019 via Android
    @Fx8m #13 很简单,比如注册一下
    Fx8m
        15
    Fx8m  
       Sep 30, 2019
    @locoz 明显不是
    locoz
        16
    locoz  
       Sep 30, 2019 via Android
    @Fx8m #15 我只是举一个例子,具体的操作方式太多了,利用注册邮箱时的检测接口来判断是否存在只是其中之一。
    yun
        17
    yun  
    OP
    PRO
       Oct 6, 2019
    @Fx8m 发送邮箱之前,邮件服务器和目的地服务器会有个握手,然后返回握手信息后再发送,验证就是利用前半部分而不发送邮件来验证邮箱是否存在。
    locoz
        18
    locoz  
       Oct 7, 2019
    @yun #17 你好骚啊
    Fx8m
        19
    Fx8m  
       Oct 11, 2019   ❤️ 1
    @yun 我试了 163 139 邮箱 都返回 250 ok

    错误邮箱 RCPTTO 也返回 250 ok 请问大佬是哪里没对吗
    QUIOA
        20
    QUIOA  
       Oct 25, 2019 via Android   ❤️ 1
    他想通过你这个网站反查绑定邮箱,收集搞成社工库
    yun
        21
    yun  
    OP
    PRO
       Oct 29, 2019
    @Fx8m 不清楚,都忘了,搞得时候才知道。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1007 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 59ms · UTC 22:10 · PVG 06:10 · LAX 15:10 · JFK 18:10
    ♥ Do have faith in what you're doing.